Spyware Guard 2008

[oGu]

Ok!

 

Enfin!

 

Loup Blanc (je vois que tu es connecté), je te ferais un rapport sur l'utilisation de LoadMBAM.

 

Destiny, il faut A TOUT PRIX que tu supprimes la sélection:

• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
  
• Redémarre ton PC
  

Modifié le 31 janvier 2009 par oGu

[destiny link]

Baheu... C'est ce que je viens de faire, et tout remarche !

Un énorme merci à toi !

Et une dernière question pour la route : quel antivirus me conseilles-tu pour éviter que cela se reproduise ?

[oGu]

Ok, le rapport indiquait le contraire!

 

Néanmoins ce n'est pas fini, car TDSS en colle partout ET a droppé d'autres virus: met à la corbeille le ComboFix que tu avais téléchargé il y a quelques jours, puis:

 

 

COMBOFIX

 

Conseil: lis cette procédure en intégralité avant de te lancer.

 

• Télécharge ComboFix de sUBs SUR TON BUREAU en cliquant sur cette image:
  

 

** IMPORTANT !!! Enregistre Combo-Fix.exe sur ton Bureau

 

• Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
   
   
  
• Fais un double clic sur combo-fix.exe & suis les invites.
   
   
  
• Lors de son exécution, Combo-Fix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!).
   
   
  
• Suis les invites pour permettre à Combo-Fix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, Combo-Fix continuera ses procédures de suppression de nuisibles.

 

 

 

 

Une fois que la Console de récupération Microsoft Windows est installée via Combo-Fix, tu devrais voir le message suivant:

 

 

 

 

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

 

Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse:

 

 

Nota: il se peut que Combo-Fix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

1. Clique sur le bouton Démarrer.
   
2. Clique sur l'option de menu Paramètres.
   
3. Clique sur l'option Panneau de configuration.
   
4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
   
5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
   
6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
   

Modifié le 31 janvier 2009 par oGu

[destiny link]

Mon antivirus (Avast) me prévient que plein de composantes de combo-fix sont des Chevaux de Troie... C'est vrai, ou je peux continuer sans risques ?

[oGu]

Avast est un mauvais antivirus, et comme tu t'en doutes, Combofix n'est pas un virus....

 

Comme précisé dans ma procédure:

 

# Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

Modifié le 1 février 2009 par oGu

[destiny link]

Voici :

ComboFix 09-01-31.01 - Soraya 2009-02-01 11:35:28.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.511.233 [GMT 1:00]

Lancé depuis: c:\documents and settings\Soraya\Bureau\Combo-Fix.exe

AV: avast! antivirus 4.8.1296 [VPS 090131-0] *On-access scanning disabled* (Updated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\docume~1\Soraya\LOCALS~1\Temp\tmp1.tmp

c:\docume~1\Soraya\LOCALS~1\Temp\tmp2.tmp

c:\documents and settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\c.cgm

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\documents and settings\Soraya\Application Data\inst.exe

c:\documents and settings\Soraya\Menu Démarrer\Programmes\Spyware Guard 2008

c:\documents and settings\Soraya\Menu Démarrer\Programmes\Spyware Guard 2008\Spyware Guard 2008.lnk

c:\documents and settings\Soraya\Menu Démarrer\Programmes\Spyware Guard 2008\Uninstall.lnk

c:\documents and settings\Soraya\Menu Démarrer\Programmes\videosoft

c:\windows\IE4 Error Log.txt

c:\windows\system32\bubedena.dll

c:\windows\system32\edgmfmqw.ini

c:\windows\system32\gulobimu.dll

c:\windows\system32\ikafesar.ini

c:\windows\system32\jiyazami.dll

c:\windows\system32\niyihifi.dll

c:\windows\system32\okasinel.ini

c:\windows\system32\TDSSlrvd.dat

c:\windows\system32\VuwFNqss.ini

c:\windows\system32\VuwFNqss.ini2

c:\windows\system32\yakituro.dll

D:\Autorun.inf

D:\resycled

d:\resycled\boot.com

E:\Autorun.inf

E:\resycled

e:\resycled\boot.com

M:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-01 au 2009-02-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-01 11:34 . 2009-02-01 11:34 <REP> d-------- c:\windows\LastGood

2009-01-31 23:39 . 2009-01-31 23:39 552 --a------ c:\windows\system32\d3d8caps.dat

2009-01-31 23:22 . 2009-01-31 23:22 <REP> d-------- c:\documents and settings\Soraya\Application Data\Malwarebytes

2009-01-29 16:47 . 2009-01-29 16:47 2,157 ---hs---- c:\windows\system32\yatewefa.dll

2009-01-27 19:48 . 2009-01-27 19:48 2,157 ---hs---- c:\windows\system32\zekibawi.dll

2009-01-25 12:28 . 2009-01-25 12:28 2,157 ---hs---- c:\windows\system32\nadejafi.dll

2009-01-25 12:28 . 2009-01-25 12:28 2,157 ---hs---- c:\windows\system32\laroriwa.dll

2009-01-24 13:32 . 2009-01-24 13:32 2,157 ---hs---- c:\windows\system32\pohudodi.dll

2009-01-23 20:50 . 2009-01-23 20:50 2,157 ---hs---- c:\windows\system32\yubiyufo.dll

2009-01-22 19:04 . 2009-01-22 19:04 176,128 --a------ c:\windows\system32\qmf76513.dll

2009-01-22 19:04 . 2009-01-22 19:04 176,128 --a------ c:\windows\system32\mf76513.dll

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-01-22 18:57 . 2008-06-13 14:12 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-01-22 18:57 . 2008-06-13 15:05 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-01-22 18:57 . 2009-01-22 18:57 <REP> d-------- c:\documents and settings\Administrateur

2009-01-22 18:51 . 2009-01-22 18:51 244 --ah----- C:\sqmnoopt02.sqm

2009-01-22 18:51 . 2009-01-22 18:51 232 --ah----- C:\sqmdata02.sqm

2009-01-19 17:54 . 2009-01-19 17:54 244 --ah----- C:\sqmnoopt01.sqm

2009-01-19 17:54 . 2009-01-19 17:54 232 --ah----- C:\sqmdata01.sqm

2009-01-18 14:39 . 2009-01-18 14:39 <REP> d-------- C:\rsit

2009-01-18 14:39 . 2009-01-18 14:39 <REP> d-------- c:\program files\trend micro

2009-01-18 12:03 . 2009-01-18 12:03 99,328 --ah----- c:\windows\system32\BIT4.tmp

2009-01-18 12:03 . 2009-01-18 12:03 84,992 --ah----- c:\windows\system32\BIT5.tmp

2009-01-18 12:03 . 2009-01-18 12:03 61,440 --ah----- c:\windows\system32\BIT2.tmp

2009-01-15 19:56 . 2009-01-31 23:22 <REP> d-------- c:\program files\Malwarebytes Anti-Malware

2009-01-14 22:36 . 2009-01-14 22:36 244 --ah----- C:\sqmnoopt00.sqm

2009-01-14 22:36 . 2009-01-14 22:36 232 --ah----- C:\sqmdata00.sqm

2009-01-14 12:36 . 2009-01-14 12:36 2,157 ---hs---- c:\windows\system32\magiduko.dll

2009-01-14 12:36 . 2009-01-14 12:36 2,157 ---hs---- c:\windows\system32\jobaruse.dll

2009-01-14 11:35 . 2009-01-14 11:35 2,157 ---hs---- c:\windows\system32\sehuwuri.dll

2009-01-14 10:02 . 2009-01-14 10:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-01-14 10:02 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 10:02 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-11 21:00 . 2009-01-11 21:00 2,157 ---hs---- c:\windows\system32\rayefeku.dll

2009-01-10 22:49 . 2009-01-10 22:49 2,157 ---hs---- c:\windows\system32\ribodapi.dll

2009-01-10 22:49 . 2009-01-10 22:49 2,157 ---hs---- c:\windows\system32\lilayeti.dll

2009-01-10 22:49 . 2009-01-10 22:49 2,157 ---hs---- c:\windows\system32\barijatu.dll

2009-01-10 21:18 . 2009-01-10 21:18 <REP> d-------- c:\program files\Opera

2009-01-02 20:26 . 2009-01-02 20:26 176,128 --a------ c:\windows\system32\xel22251.dll

2009-01-02 20:26 . 2009-01-02 20:26 176,128 --a------ c:\windows\system32\el22251.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-29 20:43 --------- d-----w c:\documents and settings\Soraya\Application Data\gtk-2.0

2009-01-29 20:40 --------- d-----w c:\documents and settings\Soraya\Application Data\uTorrent

2009-01-24 13:17 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-01-02 11:23 99,059 --sha-w c:\windows\system32\zopimiwo.dll

2008-12-24 21:48 2,826,240 --sha-w c:\windows\system32\amtlib.dll

2008-12-24 21:47 1,277,393 ----a-w c:\windows\system32\xa15227234.exe

2008-12-24 21:47 1,277,393 ----a-w c:\windows\system32\xa15226968.exe

2008-12-24 19:17 172,032 ----a-w c:\windows\system32\xwr59063.dll

2008-12-24 19:17 172,032 ----a-w c:\windows\system32\wr59063.dll

2008-12-24 19:17 1,277,393 ----a-w c:\windows\system32\xa6211812.exe

2008-12-24 19:17 1,277,393 ----a-w c:\windows\system32\xa6211453.exe

2008-12-24 18:33 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2008-12-24 11:27 --------- d-----w c:\program files\GIMP-2.0

2008-12-19 23:08 --------- d-----w c:\documents and settings\Soraya\Application Data\Vso

2008-12-19 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\vsosdk

2008-12-19 20:48 --------- d-----w c:\program files\VSO

2008-12-19 20:48 --------- d-----w c:\program files\ConvertXtoDVD

2008-12-19 19:51 --------- d-----w c:\program files\Fichiers communs\AVSMedia

2008-12-19 19:51 --------- d-----w c:\program files\AVS4YOU

2008-12-19 19:47 47,360 ----a-w c:\documents and settings\Soraya\Application Data\pcouffin.sys

2008-12-19 19:39 --------- d-----w c:\documents and settings\Soraya\Application Data\AVS4YOU

2008-12-19 19:38 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU

2008-12-19 16:54 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys

2008-12-19 16:41 --------- d-----w c:\program files\ONES Trial (F)

2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-09 19:55 --------- d-----w c:\program files\CDBurnerXP

2008-12-09 19:55 --------- d-----w c:\documents and settings\Soraya\Application Data\Canneverbe_Limited

2008-12-07 23:50 --------- d-----w c:\documents and settings\Soraya\Application Data\Skype

2008-12-07 23:00 --------- d-----w c:\documents and settings\Soraya\Application Data\skypePM

2008-12-07 21:31 --------- d-----w c:\documents and settings\Rafika\Application Data\Apple Computer

2008-12-07 18:36 --------- d-----w c:\program files\uTorrent

2008-12-07 18:34 --------- d-----w c:\program files\Google

2008-12-07 18:32 --------- d-----w c:\program files\iWizz

2008-12-07 18:29 --------- d-----w c:\program files\eMule

2008-11-06 18:05 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

2008-11-06 18:05 182,384 ----a-w c:\windows\system32\PnkBstrB.exe

2008-09-28 18:45 88 --sh--r c:\documents and settings\All Users\Application Data\C0A3F28FF8.sys

2008-09-28 18:45 1,682 --sha-w c:\documents and settings\All Users\Application Data\KGyGaAvL.sys

2008-06-13 21:29 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat

2001-11-23 10:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL

1601-01-01 00:12 83,456 --sha-w c:\windows\system32\gabuwuwo.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2004-06-01 196608]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-05-21 221184]

"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-06-01 458752]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-06-01 217088]

"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]

"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2004-02-04 294912]

"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]

"nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe]

"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-19 c:\windows\system32\irprops.cpl]

"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.enc"= ITIG726.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe]

"Debugger"=

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=

"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpsvc.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\Setup\\avast.setup"=

"c:\\Program Files\\CDBurnerXP\\NMSAccessU.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\ashMaiSv.exe"=

"c:\\Program Files\\iPod\\bin\\iPodService.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe"=

"c:\\WINDOWS\\system32\\LEXBCES.EXE"=

"c:\\WINDOWS\\Dit.exe"=

 

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [2008-12-19 15172]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-13 111184]

R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-30 20560]

S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [2008-06-14 245760]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys --> c:\windows\system32\drivers\ScreamingBAudio.sys [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:

\Shell\Open\command - d:\resycled\boot.com d:

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:

\Shell\Open\command - e:\resycled\boot.com e:

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

\Shell\Auto\command - Ghost.pif

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-01-31 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{84635AF2-4478-4E2F-99D1-CE1FAFDB8FF6} - c:\windows\system32\ssqNFwuV.dll

HKCU-Run-ares - c:\program files\Ares\Ares.exe

HKLM-Run-Cmaudio - cmicnfg.cpl

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Soraya\Application Data\Mozilla\Firefox\Profiles\dbyeh9ce.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-01 11:39:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"

.

Heure de fin: 2009-02-01 11:41:20

ComboFix-quarantined-files.txt 2009-02-01 10:41:18

 

Avant-CF: 67,187,458,048 octets libres

Après-CF: 67,150,311,424 octets libres

 

248 --- E O F --- 2009-02-01 10:34:44

[oGu]

Re!

 

Visiblement ComboFix a déjà été passé une fois: quand tu me disais qu'il ne fonctionnait pas, il avait quand même fait du travail.

 

En tout cas ta machine est surinfectée (même si ça doit aller mieux!): TDSS rootkité, Virtumonde, un rogue, infection de clé USB...Tu as chopé ces merdouilles à cause du peer-to-peer, via un élément téléchargé qui était piégé (un crack?). Si tu te rappelles avoir installer un crack, tu dois me dire pour quelle application il était prévu, afin qu'on la supprime pour éviter une nouvelle infection.

 

Il est impératif également, avant de poursuivre, que tu BRANCHES TES CLES USB, DISQUE(s) DUR(s) et CARTE MEMOIRE/CARTES FLASH.

 

 

 

Quelques remarques:

-un ver présent sur ta machine peut t'avoir dérobé tes mots de passe de jeu online: change-les.

-si tu as branché tes clés ou disques durs sur d'autres PC, il est probable qu'ils aient été infectés à leur tour.

-l'heure de ton PC, en bas à droite, est-elle correcte?

 

 

CCLEANER SLIM

 

• Télécharge CCleaner SLIM en cliquant sur l'image:
   
  
   
  
• Installe-le
  
• Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage"
  
• Pas de rapport à fournir ce coup-ci !
  

 

 

R-HOSTS

• Télécharge le programme R-Hosts de S!RI
  
• Lance R-Hosts.exe puis clique sur Restaurer.
  
• Valide la modification en appuyant sur OK.
  

 

 

 

CREATION/EXECUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Dans les réglages d'Avast! (à partir de la boule bleue en bas à droite), coche l'option "Désactiver le module self-defense d'avast!"
   
  
   
   
  
• Ouvre un nouveau fichier du Bloc-notes
  
• "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
   
  

  KillAll::
  
  File::
  c:\windows\system32\zekibawi.dll
  c:\windows\system32\nadejafi.dll
  c:\windows\system32\laroriwa.dll
  c:\windows\system32\pohudodi.dll
  c:\windows\system32\yubiyufo.dll
  c:\windows\system32\qmf76513.dll
  c:\windows\system32\mf76513.dll
  c:\windows\system32\magiduko.dll
  c:\windows\system32\jobaruse.dll
  c:\windows\system32\sehuwuri.dll
  c:\windows\system32\rayefeku.dll
  c:\windows\system32\ribodapi.dll
  c:\windows\system32\lilayeti.dll
  c:\windows\system32\barijatu.dll
  c:\windows\system32\xel22251.dll
  c:\windows\system32\zopimiwo.dll
  c:\windows\system32\xa15227234.exe
  c:\windows\system32\xa15226968.exe
  c:\windows\system32\wr59063.dll
  c:\windows\system32\xa6211812.exe
  c:\windows\system32\xa6211453.exe
  c:\documents and settings\All Users\Application Data\C0A3F28FF8.sys
  c:\windows\system32\gabuwuwo.dll
  M:\Ghost.pif
  
  Folder::
  c:\resycled
  
  Registry::
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

  
   
   
  

• Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
   
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
  
   
   
  
• Désactive ton antivirus et ton antispyware
   
  
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Enfin, poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  

 

 

 

 

 

 

 

VIRUSTOTAL

 

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne:
   
  c:\windows\system32\amtlib.dll
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
   
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Modifié le 1 février 2009 par oGu

[destiny link]

Oui, je me rappelle d'avoir téléchargé un crack pour photoshop CS4 (qui n'a d'ailleurs jamais marché)...

Je suis en train d'effectuer la procédure.

Modifié le 1 février 2009 par destiny link

[oGu]

Muy bien. C'est toujours pareil dans ce genre de cas. Quand les internautes laisseront tomber les cracks et le p2p, on pointera au chômage!

 

Désinstalle Photoshop CS4 avant qu'une nouvelle infection ne se pointe, dans le doute.

[destiny link]

Photoshop CS4 est désinstallé, et voici le rapport Combo-Fix :

ComboFix 09-01-31.03 - Soraya 2009-02-01 14:40:33.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.511.185 [GMT 1:00]

Lancé depuis: c:\documents and settings\Soraya\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\Soraya\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090131-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\documents and settings\All Users\Application Data\C0A3F28FF8.sys

c:\windows\system32\barijatu.dll

c:\windows\system32\gabuwuwo.dll

c:\windows\system32\jobaruse.dll

c:\windows\system32\laroriwa.dll

c:\windows\system32\lilayeti.dll

c:\windows\system32\magiduko.dll

c:\windows\system32\mf76513.dll

c:\windows\system32\nadejafi.dll

c:\windows\system32\pohudodi.dll

c:\windows\system32\qmf76513.dll

c:\windows\system32\rayefeku.dll

c:\windows\system32\ribodapi.dll

c:\windows\system32\sehuwuri.dll

c:\windows\system32\wr59063.dll

c:\windows\system32\xa15226968.exe

c:\windows\system32\xa15227234.exe

c:\windows\system32\xa6211453.exe

c:\windows\system32\xa6211812.exe

c:\windows\system32\xel22251.dll

c:\windows\system32\yubiyufo.dll

c:\windows\system32\zekibawi.dll

c:\windows\system32\zopimiwo.dll

M:\Ghost.pif

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\C0A3F28FF8.sys

c:\windows\system32\barijatu.dll

c:\windows\system32\gabuwuwo.dll

c:\windows\system32\jobaruse.dll

c:\windows\system32\laroriwa.dll

c:\windows\system32\lilayeti.dll

c:\windows\system32\magiduko.dll

c:\windows\system32\mf76513.dll

c:\windows\system32\nadejafi.dll

c:\windows\system32\pohudodi.dll

c:\windows\system32\qmf76513.dll

c:\windows\system32\rayefeku.dll

c:\windows\system32\ribodapi.dll

c:\windows\system32\sehuwuri.dll

c:\windows\system32\wr59063.dll

c:\windows\system32\xa15226968.exe

c:\windows\system32\xa15227234.exe

c:\windows\system32\xa6211453.exe

c:\windows\system32\xa6211812.exe

c:\windows\system32\xel22251.dll

c:\windows\system32\yubiyufo.dll

c:\windows\system32\zekibawi.dll

c:\windows\system32\zopimiwo.dll

l:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213

l:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

l:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-01 au 2009-02-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-01 14:23 . 2009-02-01 14:23 <REP> d-------- c:\program files\CCleaner

2009-01-31 23:39 . 2009-01-31 23:39 552 --a------ c:\windows\system32\d3d8caps.dat

2009-01-31 23:22 . 2009-01-31 23:22 <REP> d-------- c:\documents and settings\Soraya\Application Data\Malwarebytes

2009-01-29 16:47 . 2009-01-29 16:47 2,157 ---hs---- c:\windows\system32\yatewefa.dll

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-01-22 18:57 . 2008-06-13 14:12 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-01-22 18:57 . 2008-06-13 15:05 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-01-22 18:57 . 2008-06-13 15:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-01-22 18:57 . 2009-01-22 18:57 <REP> d-------- c:\documents and settings\Administrateur

2009-01-22 18:51 . 2009-01-22 18:51 244 --ah----- C:\sqmnoopt02.sqm

2009-01-22 18:51 . 2009-01-22 18:51 232 --ah----- C:\sqmdata02.sqm

2009-01-19 17:54 . 2009-01-19 17:54 244 --ah----- C:\sqmnoopt01.sqm

2009-01-19 17:54 . 2009-01-19 17:54 232 --ah----- C:\sqmdata01.sqm

2009-01-18 14:39 . 2009-01-18 14:39 <REP> d-------- C:\rsit

2009-01-18 14:39 . 2009-01-18 14:39 <REP> d-------- c:\program files\trend micro

2009-01-18 12:03 . 2009-01-18 12:03 99,328 --ah----- c:\windows\system32\BIT4.tmp

2009-01-18 12:03 . 2009-01-18 12:03 84,992 --ah----- c:\windows\system32\BIT5.tmp

2009-01-18 12:03 . 2009-01-18 12:03 61,440 --ah----- c:\windows\system32\BIT2.tmp

2009-01-15 19:56 . 2009-01-31 23:22 <REP> d-------- c:\program files\Malwarebytes Anti-Malware

2009-01-14 22:36 . 2009-01-14 22:36 244 --ah----- C:\sqmnoopt00.sqm

2009-01-14 22:36 . 2009-01-14 22:36 232 --ah----- C:\sqmdata00.sqm

2009-01-14 10:02 . 2009-01-14 10:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-01-14 10:02 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 10:02 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-10 21:18 . 2009-01-10 21:18 <REP> d-------- c:\program files\Opera

2009-01-02 20:26 . 2009-01-02 20:26 176,128 --a------ c:\windows\system32\el22251.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-29 20:43 --------- d-----w c:\documents and settings\Soraya\Application Data\gtk-2.0

2009-01-29 20:40 --------- d-----w c:\documents and settings\Soraya\Application Data\uTorrent

2009-01-24 13:17 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-24 18:33 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2008-12-24 11:27 --------- d-----w c:\program files\GIMP-2.0

2008-12-19 23:08 --------- d-----w c:\documents and settings\Soraya\Application Data\Vso

2008-12-19 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\vsosdk

2008-12-19 20:48 --------- d-----w c:\program files\VSO

2008-12-19 20:48 --------- d-----w c:\program files\ConvertXtoDVD

2008-12-19 19:51 --------- d-----w c:\program files\Fichiers communs\AVSMedia

2008-12-19 19:51 --------- d-----w c:\program files\AVS4YOU

2008-12-19 19:47 47,360 ----a-w c:\documents and settings\Soraya\Application Data\pcouffin.sys

2008-12-19 19:39 --------- d-----w c:\documents and settings\Soraya\Application Data\AVS4YOU

2008-12-19 19:38 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU

2008-12-19 16:54 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys

2008-12-19 16:41 --------- d-----w c:\program files\ONES Trial (F)

2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-09 19:55 --------- d-----w c:\program files\CDBurnerXP

2008-12-09 19:55 --------- d-----w c:\documents and settings\Soraya\Application Data\Canneverbe_Limited

2008-12-07 23:50 --------- d-----w c:\documents and settings\Soraya\Application Data\Skype

2008-12-07 23:00 --------- d-----w c:\documents and settings\Soraya\Application Data\skypePM

2008-12-07 21:31 --------- d-----w c:\documents and settings\Rafika\Application Data\Apple Computer

2008-12-07 18:36 --------- d-----w c:\program files\uTorrent

2008-12-07 18:34 --------- d-----w c:\program files\Google

2008-12-07 18:32 --------- d-----w c:\program files\iWizz

2008-12-07 18:29 --------- d-----w c:\program files\eMule

2008-09-28 18:45 1,682 --sha-w c:\documents and settings\All Users\Application Data\KGyGaAvL.sys

2008-06-13 21:29 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat

.

 

((((((((((((((((((((((((((((( snapshot@2009-02-01_11.40.34.53 )))))))))))))))))))))))))))))))))))))))))

.

- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE

+ 2005-10-20 12:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE

+ 2009-02-01 13:45:30 16,384 ----atw c:\windows\temp\Perflib_Perfdata_45c.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2004-06-01 196608]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-05-21 221184]

"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-06-01 458752]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-06-01 217088]

"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]

"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2004-02-04 294912]

"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]

"nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe]

"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-19 c:\windows\system32\irprops.cpl]

"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.enc"= ITIG726.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe]

"Debugger"=

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=

"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpsvc.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\Setup\\avast.setup"=

"c:\\Program Files\\CDBurnerXP\\NMSAccessU.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\ashMaiSv.exe"=

"c:\\Program Files\\iPod\\bin\\iPodService.exe"=

"c:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe"=

"c:\\WINDOWS\\system32\\LEXBCES.EXE"=

"c:\\WINDOWS\\Dit.exe"=

 

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [2008-12-19 15172]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-13 111184]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-30 20560]

S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [2008-06-14 245760]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys --> c:\windows\system32\drivers\ScreamingBAudio.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-02-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Soraya\Application Data\Mozilla\Firefox\Profiles\dbyeh9ce.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-01 14:46:42

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\DitExp.exe

c:\program files\Lexmark 2200 Series\lxbvbmon.exe

c:\windows\system32\wscntfy.exe

c:\program files\Logitech\Video\FxSvr2.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Windows Live\Messenger\usnsvc.exe

c:\program files\Java\jre1.6.0_06\bin\jucheck.exe

.

**************************************************************************

.

Heure de fin: 2009-02-01 14:52:12 - La machine a redémarré [soraya]

ComboFix-quarantined-files.txt 2009-02-01 13:52:09

ComboFix2.txt 2009-02-01 10:41:22

 

Avant-CF: 67 116 265 472 octets libres

Après-CF: 67,096,502,272 octets libres

 

250 --- E O F --- 2009-02-01 10:34:44

Je continue la procédure.